[NEWS] La Cina spia le altre nazioni attraverso il web?

c.m.g · 30-03-2009, 09:07

pubblicato da Vincenzo Baiocco lunedì 30 marzo 2009

Un team di ricercatori del Munk Centre (Università di Toronto) ha scoperto una rete di spionaggio informatico infiltrata in 1295 computer sparsi per 103 nazioni.

L’indagine è partita da una richiesta dell’ufficio del Dalai Lama di controllare alcuni loro computer ma si è espansa in tutta l’Asia e oltre, comprese macchine appartenenti a governi, ministeri degli esteri e ambasciate degli stati che ospitano il leader tibetano, sia in territorio asiatico che in Europa ed America. Una delle più interessanti capacità di Ghostnet, questo è il nome scelto dai ricercatori per identificarla, è la capacità di utilizzare webcam e microfoni per monitorare ciò che veniva detto e fatto.

Seguendo le tracce a ritroso i ricercatori sono arrivati in Cina, ma non è stato possibile scoprire se chi gestisce Ghostnet sia il governo cinese oppure dei cracker privati, mossi da interessi patriottici, politici o economici.

Fonte: DownloadBlog Via | Reuters.com

Edgar Bangkok · 30-03-2009, 10:37

lunedì 30 marzo 2009

In questi giorni sono apparsi numerosi articoli in rete al riguardo della botnet GhostNet, che si distingue non tanto per il numero di PC compromessi ma perche' quasi tutte le macchine colpite sarebbero utilizzate da enti governativi di svariati paesi o dagli uffici del Dalai Lama tibetano in esilio
In pratica una sorta di operazione di cyber spionaggio su vasta scala i cui dettagli possiamo scoprire sul documento che riporta i risultati ottenuti da ricercatori canadesi
Qui un link al testo del report

Il report presenta il risultato di ricerche durate parecchi mesi e che erano iniziate per una analisi di possibili azioni di hacking hai danni di computers appartenenti alla comunita' tibetana in esilio, ma il cui risultato finale e' stato la scoperta di una piu' ampia rete di computer compromessi che e' stata denominata GhostNet.

Si tratta a tutti gli effetti di una rete botnet che ci ricorda, come funzionamento le note e diffuse botnet, come ad esempio la Waledac, (uso di mails con allegato file malware)
(img sul blog)
ma che questa volta, pur avendo ridotte dimensioni, si distingue per gli attacchi mirati a specifici computers con contenuti definiti dai ricercatori come “with a high degree of confidence” ossia contenenti dati riservati e confidenziali.

L'indagine eseguita da ricercatori di Ottawa del SecDev Group e del Munk Centre for International Studies dell'University of Toronto ha portato alla luce un numero di almeno 1.295 computer, molti appartenenti a ambasciate, ministeri degli Affari esteri e di altri uffici governativi, cosi' come alcuni appartenenti agli uffici del Dalai Lama tibetano in esilio (in India, Bruxelles, Londra e New York).

“Significantly, close to 30% of the infected computers can be considered high-value and include the ministries of foreign affairs of Iran, Bangladesh, Latvia, Indonesia, Philippines, Brunei, Barbados and Bhutan; embassies of India, South Korea, Indonesia, Romania, Cyprus, Malta, Thailand, Taiwan, Portugal, Germany and Pakistan; the ASEAN (Association of Southeast Asian Nations) Secretariat, SAARC (South Asian Association for Regional Cooperation), and the Asian Development Bank; news organizations; and an unclassified computer located at NATO headquarters.”

Come si legge, altri computer compromessi sono stati scoperti presso le ambasciate di India, Corea del Sud, Indonesia, Romania, Cipro, Malta, Thailandia, Taiwan, Portogallo, Germania e Pakistan.

Tra i vari computer compromessi risultano ad esempio quelli appartenenti alle Embassy of India, Italy e Embassy of Malaysia, Italy. , come si puo' vedere dal report delle macchine colpite, presente sul documento.
(img sul blog)
(img sul blog)
(img sul blog)
E' chiaro che attraverso un sistema del genere , e con uno sforzo minimo, chi vuole disporre di informazioni riservate, puo' trovare una fonte di dati aggiornata, esaminando sia i contenuti dei pc compromessi nella botnet ma anche,e come pare sia successo, tenendo sotto controllo il traffico di dati generato ad esempio da una chat attiva sul pc sotto sorveglianza...

Ecco quanto scritto sul report al riguardo di un fatto accaduto nel periodo delle indagini sulla botnet

........................................Durante il corso della nostra ricerca, siamo stati informati di quanto segue.
Un membro del Drewla (progetto correlato ad attivita' di propaganda sul Tibet), una giovane donna, ha deciso di tornare al suo villaggio, in famiglia in Tibet dopo aver lavorato per due anni per Drewla.
Arrestata al confine nepalese-tibetano per un provvedimento di fermo e tenuta in isolamento per due mesi e' stata interrogata sulla sua occupazione a Dharamsala.
Ha negato di essere stata politicamente attiva ed ha insistito sul fatto che lei si era recata a Dharamsala per gli studi.
In risposta a cio', i funzionari dell'intelligence gli hanno mostrato un fascicolo con trascrizioni della sua chat Internet ........
In seguito e' stata rilasciata ed e' tornata al suo villaggio..........

Per quanto si riferisce all'attribuzione di chi controlli realmente la botnet, anche se ad esempio il caso precedente farebbe pensare ad una origine cinese dei controllori della rete GhostNet, bisogna pero' evidenziare che non ci sono prove concrete che sia cosi'.

Una possibile spiegazione potrebbe essere anche quella di un singolo individuo o un insieme di individui (reti criminali) che hanno organizzato questo sistema per attuare il furto di informazioni finanziarie o confidenziali poi vendute ai clienti, che, non e' da escludere potrebbero anche appartenere ad intelligence di singoli stati.
Inoltre vi sono innumerevoli esempi di frodi su larga scala e di furto di dati in tutto il mondo e non si puo' scartare le iniziative autonome di hackers che attuino questi attacchi come 'sostegno' al proprio paese.

In ogni caso il potenziale di ricaduta politica e' enorme specie in riferimento alla tipologia dei siti colpiti e questo studio prova che la sicurezza delle informazioni e' un punto che richiede urgente attenzione ai piu' alti livelli.

Edgar

fonte: http://edetools.blogspot.com/2009/03...-numerosi.html

Alcuni riferimenti a GhostNet

http://www.f-secure.com/weblog/archives/00001637.html

http://www.nytimes.com/2009/03/29/technology/29spy.html

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

c.m.g · 31-03-2009, 07:13

GhostNet, la cyber-spia che ci provava su punto informatico

30-03-2009, 09:07	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] La Cina spia le altre nazioni attraverso il web? pubblicato da Vincenzo Baiocco lunedì 30 marzo 2009 Un team di ricercatori del Munk Centre (Università di Toronto) ha scoperto una rete di spionaggio informatico infiltrata in 1295 computer sparsi per 103 nazioni. L’indagine è partita da una richiesta dell’ufficio del Dalai Lama di controllare alcuni loro computer ma si è espansa in tutta l’Asia e oltre, comprese macchine appartenenti a governi, ministeri degli esteri e ambasciate degli stati che ospitano il leader tibetano, sia in territorio asiatico che in Europa ed America. Una delle più interessanti capacità di Ghostnet, questo è il nome scelto dai ricercatori per identificarla, è la capacità di utilizzare webcam e microfoni per monitorare ciò che veniva detto e fatto. Seguendo le tracce a ritroso i ricercatori sono arrivati in Cina, ma non è stato possibile scoprire se chi gestisce Ghostnet sia il governo cinese oppure dei cracker privati, mossi da interessi patriottici, politici o economici. Fonte: DownloadBlog Via \| Reuters.com __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

30-03-2009, 10:37	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] GhostNet botnet, cyber spionaggio su vasta scala lunedì 30 marzo 2009 In questi giorni sono apparsi numerosi articoli in rete al riguardo della botnet GhostNet, che si distingue non tanto per il numero di PC compromessi ma perche' quasi tutte le macchine colpite sarebbero utilizzate da enti governativi di svariati paesi o dagli uffici del Dalai Lama tibetano in esilio In pratica una sorta di operazione di cyber spionaggio su vasta scala i cui dettagli possiamo scoprire sul documento che riporta i risultati ottenuti da ricercatori canadesi Qui un link al testo del report Il report presenta il risultato di ricerche durate parecchi mesi e che erano iniziate per una analisi di possibili azioni di hacking hai danni di computers appartenenti alla comunita' tibetana in esilio, ma il cui risultato finale e' stato la scoperta di una piu' ampia rete di computer compromessi che e' stata denominata GhostNet. Si tratta a tutti gli effetti di una rete botnet che ci ricorda, come funzionamento le note e diffuse botnet, come ad esempio la Waledac, (uso di mails con allegato file malware) (img sul blog) ma che questa volta, pur avendo ridotte dimensioni, si distingue per gli attacchi mirati a specifici computers con contenuti definiti dai ricercatori come “with a high degree of confidence” ossia contenenti dati riservati e confidenziali. L'indagine eseguita da ricercatori di Ottawa del SecDev Group e del Munk Centre for International Studies dell'University of Toronto ha portato alla luce un numero di almeno 1.295 computer, molti appartenenti a ambasciate, ministeri degli Affari esteri e di altri uffici governativi, cosi' come alcuni appartenenti agli uffici del Dalai Lama tibetano in esilio (in India, Bruxelles, Londra e New York). “Significantly, close to 30% of the infected computers can be considered high-value and include the ministries of foreign affairs of Iran, Bangladesh, Latvia, Indonesia, Philippines, Brunei, Barbados and Bhutan; embassies of India, South Korea, Indonesia, Romania, Cyprus, Malta, Thailand, Taiwan, Portugal, Germany and Pakistan; the ASEAN (Association of Southeast Asian Nations) Secretariat, SAARC (South Asian Association for Regional Cooperation), and the Asian Development Bank; news organizations; and an unclassified computer located at NATO headquarters.” Come si legge, altri computer compromessi sono stati scoperti presso le ambasciate di India, Corea del Sud, Indonesia, Romania, Cipro, Malta, Thailandia, Taiwan, Portogallo, Germania e Pakistan. Tra i vari computer compromessi risultano ad esempio quelli appartenenti alle Embassy of India, Italy e Embassy of Malaysia, Italy. , come si puo' vedere dal report delle macchine colpite, presente sul documento. (img sul blog) (img sul blog) (img sul blog) E' chiaro che attraverso un sistema del genere , e con uno sforzo minimo, chi vuole disporre di informazioni riservate, puo' trovare una fonte di dati aggiornata, esaminando sia i contenuti dei pc compromessi nella botnet ma anche,e come pare sia successo, tenendo sotto controllo il traffico di dati generato ad esempio da una chat attiva sul pc sotto sorveglianza... Ecco quanto scritto sul report al riguardo di un fatto accaduto nel periodo delle indagini sulla botnet ........................................Durante il corso della nostra ricerca, siamo stati informati di quanto segue. Un membro del Drewla (progetto correlato ad attivita' di propaganda sul Tibet), una giovane donna, ha deciso di tornare al suo villaggio, in famiglia in Tibet dopo aver lavorato per due anni per Drewla. Arrestata al confine nepalese-tibetano per un provvedimento di fermo e tenuta in isolamento per due mesi e' stata interrogata sulla sua occupazione a Dharamsala. Ha negato di essere stata politicamente attiva ed ha insistito sul fatto che lei si era recata a Dharamsala per gli studi. In risposta a cio', i funzionari dell'intelligence gli hanno mostrato un fascicolo con trascrizioni della sua chat Internet ........ In seguito e' stata rilasciata ed e' tornata al suo villaggio.......... Per quanto si riferisce all'attribuzione di chi controlli realmente la botnet, anche se ad esempio il caso precedente farebbe pensare ad una origine cinese dei controllori della rete GhostNet, bisogna pero' evidenziare che non ci sono prove concrete che sia cosi'. Una possibile spiegazione potrebbe essere anche quella di un singolo individuo o un insieme di individui (reti criminali) che hanno organizzato questo sistema per attuare il furto di informazioni finanziarie o confidenziali poi vendute ai clienti, che, non e' da escludere potrebbero anche appartenere ad intelligence di singoli stati. Inoltre vi sono innumerevoli esempi di frodi su larga scala e di furto di dati in tutto il mondo e non si puo' scartare le iniziative autonome di hackers che attuino questi attacchi come 'sostegno' al proprio paese. In ogni caso il potenziale di ricaduta politica e' enorme specie in riferimento alla tipologia dei siti colpiti e questo studio prova che la sicurezza delle informazioni e' un punto che richiede urgente attenzione ai piu' alti livelli. Edgar fonte: http://edetools.blogspot.com/2009/03...-numerosi.html Alcuni riferimenti a GhostNet http://www.f-secure.com/weblog/archives/00001637.html http://www.nytimes.com/2009/03/29/technology/29spy.html http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 30-03-2009 alle 10:40.

31-03-2009, 07:13	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	GhostNet, la cyber-spia che ci provava su punto informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email